Оптимальность архитектуры 1oo2D

Вначале необходимо пояснить принципиальную разницу между системами 1оо2 и 1oo2D. Как сказано в стандарте IEC 61508 по поводу системы 1оо2:

"Предполагается, что любое диагностическое тестирование будет только извещать об обнаруженных сбоях, и не будет изменять состояния выходов, или изменять выходное голосование".

Как сказано в стандарте IEC 61508 по поводу системы 1oo2D:

"Для системы с расширенной диагностикой 1oo2D, если диагностика обнаруживает отказ в любом из каналов, процедура голосования строится таким образом, что выход системы будет контролироваться другим каналом.
Если диагностическое тестирование обнаруживает отказы в обоих каналах, или обнаруживает расхождение, которое не может быть приписано к какому-либо из каналов, то выход системы переводится в состояние останова ("безопасное" состояние).
Для того чтобы расхождение между каналами могло быть обнаружено, каждый из каналов должен иметь возможность определять состояние другого канала с помощью средств, независимых от проверяемого канала".

Однако в стандарте не поясняется, что же это за средства, независимые от другого канала? В данном случае - это не просто "возможность определять состояние другого канала", а оригинальное сочетание архитектур 2оо2 и 1оо2, позволяющее использовать диагностические цепи в качестве дополнительной пары каналов, построенных на альтернативных элементах и совершенно иных схемных решениях. Оба диагностических тракта работают таким образом, что без перекрестного подтверждения соседний канал не сможет выдать команду на изменение выхода.

Поэтому символ "D" в данной архитектуре означает не просто расширенные возможности диагностики, а особым образом организованное взаимодействие управляющих и диагностических цепей, позволяющее фактически реализовать реальную квадро - систему, имея:

• Два канала обработки информации, и
• Два диагностических тракта, которые с учетом перекрестного взаимодействия фактически исполняют роль дополнительной пары каналов.

Учитывая особую значимость систем класса 1oo2D, приведем классические образцы реальных систем с данной архитектурой.

Система H41-HRS, H51-HRS (HI Quad) фирмы HIMA

Высокий уровень безопасности и отказоустойчивости в архитектурах 1oo2D достигается за счёт дублирования всех модулей - и управляющих, и ввода-вывода.

Система 1oo2D - это полностью резервированная архитектура с всесторонней диагностикой и дополнительным трактом безопасного отключения системы, который управляется независимым диагностическим каналом.

Именно в системах с архитектурой 1oo2D параллельно работают четыре канала - два основных и два диагностических, благодаря чему достигается наивысший для программируемых электронных систем уровень безопасности и отказоустойчивости.

Система разделена на две эквивалентные подсистемы, работающие синхронно, и полностью резервирующие друг друга. В том случае, когда система диагностики обнаруживает неисправность в одной из подсистем, эта подсистема отключается, и управление не подхватывает, а продолжает другая подсистема. После того, как работоспособность неисправной подсистемы будет восстановлена, она включается в работу, полностью восстанавливая двойную схему резервирования архитектуры 1oo2D. В отличие от многих других систем управления и защиты, архитектура 1oo2D позволяет монтировать резервирующие друг друга подсистем на раздельных шасси, которые могут размещаться в раздельных шкафах и в разных помещениях.

Такая возможность минимизирует подверженность резервирующих друг друга подсистем общим внешним воздействиям, таким как повышение температуры или обрыв линии питания в одном из шкафов, пожар в одном из помещений и т.д. В данной архитектуре предусматривается защита выходных цепей, а также многие другие механизмы, обеспечивающие более безопасные решения, чем традиционная архитектура программируемых логических контроллеров и систем управления. В выходных каналах, как правило, используются дублирующие разнотипные элементы. Нормальный выход основного управляющего канала контроллера построен на твердотельном полупроводниковом ключе. Выходное электромагнитное реле, управляемое встроенной системой диагностики, предоставляет дополнительную возможность управления состоянием выхода. При обнаружении опасного отказа в выходном канале реле может быть автоматически обесточено, что обеспечивает безопасное отключение канала.

Высокая отказоустойчивость архитектур 1oo2D достигается также благодаря резервированию таких ключевых элементов системы, как источники питания и коммуникационные магистрали. Согласно технической документации, диагностика систем с архитектурой 1oo2D гарантирует обнаружение более 99,95% неисправностей. В целом и по вероятности всех типов отказов, и по балансу ограничений на работу в неполной конфигурации, системы 1oo2D явно предпочтительнее прочих архитектур.